RACF® または同等のセキュリティー製品を使用したセキュリティー環境のセットアップ

RACF® または同等のセキュリティー製品のプロファイルを定義するには、以下のステップを実行します。これらのステップでは、セキュリティー管理者は既に、DASD ボリューム (DASDVOL) と機能 (FACILITY) に対する制御アクセスを持っているものと想定しています。

以降の節には、RACF® を使用して File Manager の機能クラスをセットアップする例が含まれています。RACF® リソース・プロファイルについて詳しくは、z/OS Security Server RACF Command Language Reference を参照してください。

注: 同等のセキュリティー製品を使用している場合は、機能クラスの定義方法と使用法を説明した、その製品の資料を参照してください。
一部のユーザー、またはすべてのユーザーに、次の File Manager 機能のグループに対するアクセスを与えることも拒否することも可能です。
FILEM.DISK.INPUT
ディスク入力機能
FILEM.DISK.UPDATE
ディスク更新機能
FILEM.TAPE.INPUT
テープ入力機能
FILEM.TAPE.OUTPUT
テープ出力機能
FILEM.TAPE.DUPLICATE
テープ・コピー機能
FILEM.TAPE.UPDATE
テープ更新機能
FILEM.VSAM.UPDATE
VSAM 更新機能
FILEM.OAM.OUTPUT
OAM 出力機能
FILEM.OAM.UPDATE
OAM 更新機能
FILEM.LOADMOD.UPDATE
ロード・モジュール更新機能
FILEM.OTHER.ALL
その他すべての機能
FILEM.TAPE.BLP
参照 ラベル迂回処理 (BLP) の制御
FILEM.DISK.FULLPACK
参照 DASD ボリュームに対するフルパック・アクセスの制御

これらのグループに関して詳しくは、File Manager 機能とプロファイル名の相互参照 を参照してください。

アクセス制御

File Manager Base function 基本オプション・メニューから FM/IMSFM/Db2 および FM/CICS へのアクセスを制御できる、3 つの機能グループが用意されています。これらのグループは、以下の通りです。
FILEM.CICS.BASE
File Manager Base function へのアクセス
FILEM.CICS.IMS
FM/IMS へのアクセス
FILEM.CICS.DB2
FM/Db2 へのアクセス

FM/CICS を実行しているユーザー ID がこれらのグループのいずれかへの読み取りアクセスを持っている場合、関連する機能 (FMFM/IMS、または FM/Db2) が FM/CICS 基本オプション・メニューに表示され、ユーザーはそれらの機能を (機能がインストールされていれば) 起動できます。

File Manager は、これを行うために、STATUS=ACCESS を指定して CICS® SAF FACILITY プロファイルへの RACROUTE 呼び出しを実行します。RACF® が使用される場合、STATUS=ACCESS 要求は記述どおりに機能して、プロファイルへのアクセス権限がない場合でもセキュリティー関連のロギングまたは異常終了は生成されません。

ただし、他のセキュリティー製品 (ACF2 など) が使用されている場合は、上記の RACROUTE 要求に応答して S047 異常終了が発行される可能性があります。この場合、ご使用のセキュリティー製品の資料を参照して、適宜変更を行う必要があります。

FM/CICS コンポーネントのインストールとカスタマイズを完了したら、このアクセスについての要件を検討してください。

FM/CICS について詳しくは、File Manager CICS コンポーネントのカスタマイズおよびFile Manager User’s Guide and Reference for CICSを参照してください。

更新機能の保護

また、File Manager Base functionFM/Db2、および FM/CICS で更新機能を保護できるように、3 つの機能グループが用意されています。以下のものがあります。
FILEM.BASE.UPDATE
File Manager Base componentで更新機能を保護します。
FILEM.DB2.UPDATE
FM/Db2 で更新機能を保護します。
FILEM.CICS.UPDATE
FM/CICS で更新機能を保護します。

FM/IMS の場合、セキュリティーのこの側面は異なる扱いとなっています。IMS サブシステムおよび FM/IMS 機能のアクセス制御機能 を参照してください。

また、この機能クラスでは、オプション SEC=YES が FMN0POPT (File Manager Base の場合)、FMN2POPT (FM/Db2 の場合) および FMN3POPT (FM/CICS の場合) に指定されている必要があります。SEC オプションの詳細については、SEC を参照してください。保護される機能の詳細については、無保護機能および保護機能用のプロファイル名 を参照してください。この方法で保護される機能のリストについては、File Manager 無保護機能FM/Db2 で更新機能を保護するためのカスタマイズ、および FM/CICS で更新機能を保護するためのカスタマイズ を参照してください。

オプション・モジュールに SEC=YES が指定されていない場合、この機能クラスの検査は行われません。

アクセス権限を付与する/しない例

また、個々の File Manager 機能に対するアクセスについても、一部のユーザー、またはすべてのユーザーに、与えることも拒否することも可能です。以下の例は、このことを示しています。
  • 機能グループに対して、NONE というアクセスを全体に与える場合 (例えば、ディスク入力機能)、RACF® コマンドを次のように入力します。
    RDEFINE FACILITY FILEM.DISK.INPUT     UACC(NONE)

    これは、特に指定のない限り、どのユーザーもそのグループの機能はまったく使用できないことを意味しています。

  • すべてのユーザーに、機能のグループ (例えば、テープ入力機能) へのアクセスを与える場合は、次のような RACF® コマンドを入力します。
    RDEFINE FACILITY FILEM.TAPE.INPUT     UACC(READ)
  • あるユーザー (ユーザー ID userid を持つユーザー) に、機能のグループ (例えば、テープ出力機能) へのアクセスを与える場合は、次のような RACF® コマンドを入力します。
    PERMIT FILEM.TAPE.OUTPUT    CLASS(FACILITY) ID(userid) ACCESS(READ)
    同様に、テープ出力機能へのユーザー・アクセスを否認するには、次のような RACF® コマンドを入力してください。
    PERMIT FILEM.TAPE.OUTPUT    CLASS(FACILITY) ID(userid) ACCESS(NONE)

    FILEM.TAPE.OUTPUT に対する PERMIT ステートメントは、FILEM.TAPE.OUTPUT に対して指定した汎用アクセスをオーバーライドします。

  • あるユーザーに、特定の機能 (例えば、VSAM からテープへの機能) へのアクセスを与える場合は、次のような RACF® コマンドを入力します。
    PERMIT FILEM.FUNCTION.VT    CLASS(FACILITY) ID(userid) ACCESS(READ)
    同様に、VT 機能へのユーザー・アクセスを否認するには、次のような RACF® コマンドを入力してください。
    PERMIT FILEM.FUNCTION.VT    CLASS(FACILITY) ID(userid) ACCESS(NONE)

    FILEM.FUNCTION.VT に対する PERMIT ステートメントは、FILEM.TAPE.OUTPUT に対して指定した任意のアクセスをオーバーライドします。

  • あるユーザー (ユーザー ID userid を持つユーザー) に、ロード・モジュールを更新する許可を与える場合は、次のような RACF® コマンドを入力します。
    PERMIT FILEM.FUNCTION.LMU   CLASS(FACILITY) ID(userid) ACCESS(READ)

    FILEM.FUNCTION.LMU に対する PERMIT ステートメントは、FILEM.LOADMOD.UPDATE に対して指定した汎用アクセスをオーバーライドします。

  • FACILITY クラスがまだシステムでアクティブになっていない場合には、次の RACF® コマンドを入力してアクティブにします。
    SETROPTS CLASSACT(FACILITY)
    SETROPTS GENERIC(FACILITY)
    SETROPTS GENCMD(FACILITY)